De cybercrisis uit

10 januari 2022 Jean-Jacques Bistervels
In dit artikel:

(Publicatiedatum: 10 januari 2022)

Zaterdag 18 december werden we allen verrast door wéér een lockdown. Het schijnt dat het met virussen in de echte wereld net zo ‘dweilen met de kraan open’ is als met vergelijkbare zaken in de IT-wereld.

Op 22 september 2020 schreef ik in mijn eerste column voor de IT-auditor over de gevolgen van, en het gebrek aan aandacht voor, ransomware en extortionware. Ook op dat vlak zag je tot ver in 2020 en begin 2021 nog dat bedrijven, ondanks alle signalen, struisvogelpolitiek bedreven. Want waarom zou dat jóu overkomen? Daarna volgden nog vele lockdowns bij allerlei bedrijven en andere organisaties. Klein en groot, en ook niet met de minste namen. En dan hebben we het gemakshalve nog maar niet over de vele datalekken die en passant publiek werden. Net zo’n stortvloed. Naast de covidcrisis is er dus ook een cybercrisis.

Er dienen zich dan ook twee prangende vragen aan. Vraag een: hebben de raden van bestuur en de raden van commissarissen ons eigenlijk wel gehoord, al die keren dat we alarm sloegen over lakse beveiliging? En, als tegenhanger van de vorige vraag: hebben wij zelf als beroepsgroep wel voldoende onderzoek gedaan naar deze risico’s en urgent genoeg opgeroepen ze hoog te prioriteren? Daar ben ik nog niet helemaal uit, maar al met al heeft de hele commotie wel bijgedragen aan het rijp maken van de geesten voor een nieuw in te stellen instrument: de IT-auditverklaring. 

Het instrument op zichzelf zal nieuwe ransomware-aanvallen en/of afpersingspogingen niet voorkomen. Maar zo’n auditverklaring kan in elk geval wel bijsturen en hoger management aansporen om beter bij de les te blijven en zich daadwerkelijk eigenaar te tonen van data en IT. Kortweg: er Chefsache van te maken, zoals onze oosterburen plegen te zeggen.

Want ook in 2022 (en beyond) zal IT nog steeds een cruciale driver van onze economie zijn. Wat was er met menig onderneming gebeurd als er niet de IT-infrastructuur bestond, die we heden ten dage als zo vanzelfsprekend ervaren? Click & collect, online bestellen of een afspraak maken om iets te bezichtigen bij een winkel, online proefwerken en examens, online studie, thuiswerken, online leren, online vergaderen met grote groepen, online hypotheekadvies, online kansspellen (misschien had de ACM daar toen nog een IT-audit kunnen laten uitvoeren, wie weet?) … het heeft mede door covid in 2020 en 2021 allemaal een enorme ontwikkeling doorgemaakt. En zelfs ons kabinet ziet in zijn betere momenten in dat het toch eens tijd wordt voor minimaal een staatsecretaris voor Digitalisering. Anno 2022, geen dag te vroeg.

Geachte lezer, weet u bij de start van het nieuwe jaar een mooier voornemen voor ons kabinet dan … beleid? Een routekaart – maar nu echt – uit de chaos en de ‘red uzelf maar’-mentaliteit. Want verzekeraars zijn zich al aan het verschansen en hebben hun dekking voor ransomware en andere disruptieve zaken strikt ingeperkt. Gegarandeerd te duur en niet meer winstgevend genoeg. En dan maar hopen dat het qua beleid niet bij papier alleen blijft, zoals we maar al te vaak zien. 

Of nee, hoop is niet genoeg. Hier ligt bij uitstek een rol voor ons IT-auditors, om met audit en advies de IT- en datastrategie aan de tand te voelen en helpen te verbeteren. Zo blijven we relevant.

Niet gecategoriseerd

Ir. J.E. (Jean-Jacques) Bistervels RE CIA/CFSA/CCSA CRISC/CDPSE CCP | Senior Audit Manager bij Obvion

Jean-Jacques Bistervels is werkzaam als auditmanager bij Obvion. Hij richt zich daar op IT en operational audits. Na zijn studie Technische Bedrijfskunde aan de TUE is hij zijn carrière bij Ernst & Young gestart als IT-auditor. Hij heeft daarna ruim zeven jaar gewerkt binnen de farmaceutische sector, daarna ruim tien jaar in de financiële sector en kort nog even in de wereld van gemeenten en media & educatieve bedrijven vertoefd. Binnen NOREA is hij actief voor de kennisgroep Software Development en als redacteur voor de IT-auditor.